Как узнать, опасная строка (содержит XSS) или нет?

Question

sorry_i_noob @sorry_i_noob

PHP
XSS

Как узнать, опасная строка (содержит XSS) или нет?

Здравствуйте. Как мне узнать, опасная строка или нет? Я пробовал обрабатывать строку HTMLPurifier'ом и потом сравнивать ее длину с необработанной строкой. Если длина разная, значит, HTMLPurifier удалил опасные элементы у этой строки (теги, атрибуты). Значит, строка была опасная.
Но это не работает. Потому что в HTMLPurifier встроен Tidy. И отключить его нельзя. И он меняет строку - добавляет к <br> слэши, меняет атрибут style - добавляет точку с запятой, убирает пробел. Приведу пример.
Было:
<div style="color: red">это div</div>
Стало:
<div style="color:red;">это div</div>
Где-то еще что-то меняет. И все это отследить практически нереально.
Так как же можно проверить - опасная строка или нет?

Вопрос задан более трёх лет назад
180 просмотров

Комментировать

Подписаться 1 Простой Комментировать

Пригласить эксперта

Ответы на вопрос 2

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

PHP

+1 ещё

Простой
Почему клиент телеграма отсылает битый запрос?
- 1 подписчик
- вчера
- 100 просмотров
0

ответов
PHP

+2 ещё

Простой
Как в Drupal 10 массово проставить noindex для >1000 страниц?
- 1 подписчик
- вчера
- 42 просмотра
1

ответ
PHP

+1 ещё

Простой
Парсинг XML yandex?
- 1 подписчик
- вчера
- 95 просмотров
0

ответов
PHP

Простой
Заполнить не существующими датами из бд в графике apexcharts?
- 1 подписчик
- вчера
- 57 просмотров
2

ответа
PHP

+1 ещё

Средний
Почему одинаково-написанный curl запрос отдает разные ответы?
- 1 подписчик
- 17 апр.
- 135 просмотров
0

ответов
PHP

Простой
Вывожу куки в корзине, куда записал товар, не выводит, в чем ошибка?
- 1 подписчик
- 17 апр.
- 84 просмотра
0

ответов
PHP

Простой
Функция str_replace() не работает?
- 1 подписчик
- 17 апр.
- 188 просмотров
3

ответа
PHP

+1 ещё

Простой
Как получить данные title на TradingView?
- 1 подписчик
- 17 апр.
- 31 просмотр
1

ответ
PHP

+2 ещё

Сложный
Интеграция Telegram с CRM системой. Что посоветуете?
- 1 подписчик
- 17 апр.
- 147 просмотров
1

ответ
JavaScript

+3 ещё

Простой
Как принять данные от JQuery.ajax на сервере php?
- 1 подписчик
- 16 апр.
- 96 просмотров
1

ответ
Показать ещё Загружается…

PHP разработчик

Ведисофт • Екатеринбург

от 25 000 ₽

PHP-разработчик

M-Social Production • Брянск

от 70 000 ₽

PHP Developer

YCLIENTS • Москва

от 200 000 до 350 000 ₽

Доработать клиентское приложение для GTA 5 на C#

20 апр. 2024, в 00:51

1000 руб./за проект

Верстка и логика формы выбора билетов в зале для покупки

20 апр. 2024, в 00:43

10000 руб./за проект

Разработать формирование УПД на Java

20 апр. 2024, в 00:28

20000 руб./за проект

Answer 1 · 2018-11-01 13:48:35

alex-1917 @alex-1917

Если ответ помог, отметь решением

phpfaq.ru/safemysql

Ответ написан более трёх лет назад

Комментировать

Answer 2 · 2018-11-01 14:14:20

Если длина разная, значит, HTMLPurifier удалил опасные элементы у этой строки (теги, атрибуты). Значит, строка была опасная.

Нет, это значит, что он удалил то, что Вы его попросили удалить. Возможно теги какие-то, возможно еще что-то. В Вашем случае он еще и автозамену делает.

На самом деле сложно отследить однозначно вредоносную строку. В примитивном варианте можно проверять на наличие тега <script>, но вариантов XSS много и обычно ставится задача избегать их, а не выявлять однозначно. Такая задача ближе к реальности. Так как ряд методов успешно предотвращают, но не выявляют.
Вот чтиво: https://habr.com/company/pentestit/blog/211494/

Как узнать, опасная строка (содержит XSS) или нет?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт